

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memberikan izin Amazon Personalize untuk menggunakan kunci Anda AWS KMS
<a name="granting-personalize-key-access"></a>

 Jika Anda menentukan kunci AWS Key Management Service (AWS KMS) saat menggunakan konsol Amazon Personalize atau APIs, atau jika Anda menggunakan AWS KMS kunci untuk mengenkripsi bucket Amazon S3, Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Untuk memberikan izin, kebijakan AWS KMS utama *dan* kebijakan IAM yang dilampirkan pada peran layanan Anda harus memberikan izin Amazon Personalize untuk menggunakan kunci Anda. Ini berlaku untuk membuat yang berikut di Amazon Personalize. 
+ Grup kumpulan data
+ Pekerjaan impor kumpulan data (hanya kebijakan AWS KMS utama yang harus memberikan izin)
+ Lowongan kerja ekspor dataset
+ Pekerjaan inferensi Batch
+ Pekerjaan segmen Batch
+ Atribusi metrik

 Kebijakan AWS KMS utama dan kebijakan IAM Anda harus memberikan izin untuk tindakan berikut: 
+  Dekripsi 
+  GenerateDataKey 
+  DescribeKey 
+  CreateGrant (hanya diperlukan dalam kebijakan utama) 
+  ListGrants 

Mencabut izin AWS KMS kunci setelah membuat sumber daya dapat menyebabkan masalah saat membuat filter atau mendapatkan rekomendasi. Untuk informasi selengkapnya tentang AWS KMS kebijakan, lihat [Menggunakan kebijakan utama di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*. Untuk informasi tentang cara membuat kebijakan IAM, lihat [Membuat kebijakan IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) Pengguna *IAM*. *Untuk informasi tentang melampirkan kebijakan IAM ke peran, lihat [Menambahkan dan menghapus izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) di Panduan Pengguna IAM.*

**Topics**
+ [Contoh kebijakan utama](#export-job-key-policy)
+ [Contoh kebijakan IAM](#export-job-iam-policy)

## Contoh kebijakan utama
<a name="export-job-key-policy"></a>

Contoh kebijakan utama berikut memberikan Amazon Personalize dan peran Anda izin minimum untuk operasi Amazon Personalize sebelumnya. Jika Anda menentukan kunci saat membuat grup kumpulan data dan ingin mengekspor data dari kumpulan data, kebijakan kunci Anda harus menyertakan tindakan tersebut`GenerateDataKeyWithoutPlaintext`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "key-policy-123",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{{111122223333}}:role/{{<personalize-role-name>}}",
                "Service": "personalize.amazonaws.com"
            },
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Contoh kebijakan IAM
<a name="export-job-iam-policy"></a>

 Contoh kebijakan IAM berikut memberikan peran AWS KMS izin minimum yang diperlukan untuk operasi Amazon Personalize sebelumnya. Untuk pekerjaan impor kumpulan data, hanya kebijakan AWS KMS utama yang perlu memberikan izin. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:ListGrants"
            ],
            "Resource": "*"
        }
    ]
}
```

------